La loi de transposition NIS2 en Allemagne est entrée en vigueur le 5 décembre 2025. Les échéances d'enregistrement au BSI arrivent en mars 2026. Ce guide couvre tout ce que les RSSI, directeurs informatiques et responsables conformité doivent savoir : qui doit se conformer, quelles sont les obligations, les sanctions et comment construire une feuille de route de conformité pratique.
La directive NIS2 (Directive (UE) 2022/2555) remplace la directive NIS originale de 2016, largement considérée comme insuffisante en termes de périmètre et d'application. Elle élargit considérablement la couverture d'environ 10 000 entités sous NIS1 à plus de 160 000 entités dans l'ensemble de l'UE.
NIS2 a été conçue pour corriger trois faiblesses fondamentales : une transposition incohérente entre les États membres, un périmètre limité ne couvrant que des secteurs restreints, et une application faible avec des sanctions trop basses pour impulser le changement.
En Allemagne, le NIS2UmsuCG (loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité) est entré en vigueur le 5 décembre 2025. Le BSI est l'autorité de supervision désignée, et les échéances d'enregistrement commencent le 6 mars 2026.
NIS2 a abandonné l'approche par désignation au profit d'un mécanisme de seuil de taille. Les organisations sont automatiquement dans le périmètre si elles remplissent les critères sectoriels et de taille.
| Secteur | Exemples |
|---|---|
| Énergie | Électricité, pétrole, gaz, hydrogène, chauffage urbain |
| Transports | Aérien, ferroviaire, maritime, routier |
| Banque | Établissements de crédit |
| Infrastructure des marchés financiers | Plateformes de négociation, contreparties centrales |
| Santé | Hôpitaux, laboratoires, pharma, dispositifs médicaux |
| Eau potable | Approvisionnement et distribution |
| Eaux usées | Collecte, élimination, traitement |
| Infrastructure numérique | IXP, DNS, registres TLD, cloud, centres de données, CDN |
| Gestion des services TIC (B2B) | MSP, MSSP |
| Administration publique | Entités de l'administration centrale |
| Espace | Opérateurs d'infrastructures au sol |
| Secteur | Exemples |
|---|---|
| Services postaux et de courrier | Opérateurs de services postaux |
| Gestion des déchets | Collecte, transport, traitement |
| Fabrication chimique | Production, distribution |
| Production alimentaire | Transformation, distribution (grande échelle) |
| Industrie manufacturière | Dispositifs médicaux, électronique, machines, véhicules |
| Fournisseurs numériques | Places de marché, moteurs de recherche, réseaux sociaux |
| Recherche | Organismes de recherche à impact significatif |
Certaines entités sont dans le périmètre quelle que soit leur taille : prestataires de services de confiance qualifiés, registres TLD, fournisseurs DNS, opérateurs de télécommunications, administration publique et fournisseurs uniques de services essentiels.
| Aspect | Entités essentielles | Entités importantes |
|---|---|---|
| Supervision | Proactive (ex-ante) | Réactive (ex-post) |
| Amende maximale | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Audits | Réguliers, obligatoires | Sur preuve de non-conformité |
| Exigences de sécurité | Identiques | Identiques |
Les obligations de sécurité sont les mêmes pour les deux niveaux. La différence réside uniquement dans l'intensité de la supervision et les plafonds de sanctions.
| Délai | Exigence | Objectif |
|---|---|---|
| 24 heures | Alerte précoce au CSIRT | Signaler qu'un incident significatif s'est produit |
| 72 heures | Notification d'incident avec évaluation | Gravité, impact, indicateurs de compromission |
| 1 mois | Rapport final | Analyse des causes, impact, mesures d'atténuation |
L'article 20 exige que les organes de direction approuvent les mesures de cybersécurité, suivent une formation et assument une responsabilité personnelle. En vertu du NIS2UmsuCG allemand, les dirigeants s'exposent à des amendes personnelles et à une suspension temporaire de leurs fonctions de direction. Cette responsabilité ne peut pas être entièrement déléguée.
Au-delà des amendes, les autorités peuvent émettre des injonctions contraignantes, ordonner la cessation d'activités, exiger la divulgation publique de la non-conformité, suspendre des certifications et — pour les entités essentielles — interdire temporairement les fonctions de direction aux personnes responsables.
Pour une entreprise avec 1 milliard d'euros de chiffre d'affaires, l'amende maximale pour une entité essentielle est de 20 millions d'euros. Les polices d'assurance D&O doivent être réexaminées pour les lacunes de couverture — la responsabilité personnelle ne peut pas être entièrement assurée.
| Date | Jalon |
|---|---|
| 27 déc. 2022 | NIS2 publiée au Journal officiel de l'UE |
| 16 janv. 2023 | NIS2 entre en vigueur |
| 17 oct. 2024 | Date limite de transposition pour tous les États membres |
| 5 déc. 2025 | Allemagne : NIS2UmsuCG entre en vigueur |
| 6 mars 2026 | Allemagne : échéance d'enregistrement au BSI |
| 17 oct. 2027 | La Commission européenne examine le fonctionnement de NIS2 |
L'enregistrement de mars 2026 arrive dans quelques semaines. Identifiez les écarts de conformité avant de vous enregistrer.
Lancer un scan NIS2 gratuit →ISO 27001 fournit une base solide mais NIS2 ajoute des exigences spécifiques : délais obligatoires de notification d'incidents (24h/72h/1 mois), responsabilité personnelle de la direction et obligations détaillées de sécurité de la chaîne d'approvisionnement. La certification seule ne garantit pas la conformité.
KENSAI scanne en continu votre surface d'attaque externe — domaines, sous-domaines, IP, services cloud, API exposées — et cartographie les actifs par rapport à votre périmètre NIS2. Inventaire en temps réel de ce que vous devez protéger.
Avec plus de 332 000 CVE, KENSAI identifie les vulnérabilités connues et les corrèle avec les exigences NIS2. Chaque résultat est priorisé par score CVSS, pertinence NIS2 et urgence de remédiation basée sur la threat intelligence.
L'IA cartographie votre posture de sécurité par rapport à toutes les exigences de l'article 21 : score de conformité, rapport d'écarts, remédiation priorisée et documentation de preuves adaptée aux régulateurs et auditeurs.
Scannez l'infrastructure externe des fournisseurs pour identifier les services exposés, vulnérabilités, problèmes de certificats, erreurs de configuration DNS et historique de violations de données — la visibilité sur la chaîne d'approvisionnement que NIS2 exige.
Starter : 990 €/mois — ETI entrant dans le périmètre NIS2. Professional : 1 490 €/mois — Infrastructure complexe et chaînes d'approvisionnement. Enterprise : 2 490 €/mois — Automatisation complète de la conformité avec support dédié.
La réglementation européenne actualisée en matière de cybersécurité (Directive (UE) 2022/2555) remplaçant la directive NIS originale. Elle établit des mesures obligatoires de gestion des risques, de notification d'incidents et de sécurité de la chaîne d'approvisionnement dans 18 secteurs critiques.
Les organisations dans 18 secteurs désignés atteignant les seuils d'entreprise moyenne (50+ employés ou 10 M€+ de CA) ou grande entreprise (250+ employés ou 50 M€+ de CA). Certaines entités comme les fournisseurs DNS et les télécoms sont couvertes quelle que soit leur taille.
Entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial. Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. Plus des injonctions contraignantes, la divulgation publique, la suspension de certifications et la responsabilité personnelle de la direction.
Trois étapes : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport final sous 1 mois.
L'article 20 exige que les conseils approuvent les mesures de cybersécurité, suivent une formation et assument une responsabilité personnelle. En vertu de la loi allemande, les dirigeants s'exposent à des amendes personnelles et à une suspension temporaire.
En général non (moins de 50 employés / 10 M€ de CA sont exclus). Des exceptions existent pour les prestataires de services de confiance, les registres TLD, les fournisseurs DNS et les télécoms.
Chevauchement significatif, mais NIS2 ajoute des délais obligatoires de notification d'incidents, la responsabilité personnelle de la direction et des exigences détaillées sur la chaîne d'approvisionnement. La certification ISO 27001 seule ne garantit pas la conformité NIS2.
NIS2 se concentre sur la sécurité des réseaux/systèmes ; le RGPD sur la protection des données personnelles — les deux peuvent s'appliquer à un cyberincident. DORA prévaut pour les entités financières selon le principe de lex specialis.
Ce guide est fourni à titre informatif et ne constitue pas un conseil juridique. Consultez des professionnels qualifiés en droit et en cybersécurité pour vos obligations NIS2 spécifiques.
Visualisez vos écarts de conformité en quelques minutes. Scan alimenté par l'IA avec cartographie NIS2, RGPD et DORA intégrée.
Lancer un scan gratuit →La sécurité n'est pas optionnelle.
🗡️ L'équipe KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →